Klasičtí správci předplatných Azure

Důležité

Od 31. srpna 2024 se role klasického správce Azure (spolu s klasickými prostředky Azure a Azure Service Managerem) vyřadí z provozu a už se nepodporují. Od 30. dubna 2025 ztratí přístup veškerá přidělení rolí Co-Administrator nebo role správce služeb. Pokud máte stále aktivní přiřazení rolí Co-Administrator nebo Service Administrator, okamžitě je převeďte na Azure RBAC.

Ke správě přístupu k prostředkům Azure doporučuje Microsoft využívat řízení přístupu na základě role v Azure (Azure RBAC). Pokud stále používáte klasický model nasazení, budete muset migrovat prostředky z klasického nasazení na nasazení Resource Manageru. Další informace najdete v tématu Modely nasazení Azure Resource Manager a Classic.

Tento článek popisuje vyřazení rolí spolusprávce a správce služeb a způsobu převodu těchto přiřazení rolí.

Nejčastější dotazy

Co se stane s klasickými přiřazeními rolí správce po 31. srpnu 2024?

• Role spolusprávce a správce služeb jsou vyřazeny z provozu a už se nepodporují. Tato přiřazení rolí byste měli okamžitě převést na Azure RBAC.

Co se stane s klasickými rolemi správce po 30. dubnu 2025?

• Co-Administrator a přiřazení rolí správce služby ztratí přístup. Pokud nemáte přiřazenou roli Vlastník v rámci předplatného, ztratíte přístup ke správě předplatného.

Jak zjistím, které předplatné mají klasického správce?

• Pomocí dotazu Azure Resource Graph můžete zobrazit seznam předplatných s přiřazením rolí Správce služeb nebo Spolusprávce. Postup najdete v tématu Seznam klasických správců.

Jaká je ekvivalentní role Azure, kterou mám přiřadit spolusprávci?

• Role vlastníka v rozsahu předplatného má ekvivalentní přístup. Role vlastníka je však privilegovaná role správce a uděluje úplný přístup ke správě prostředků Azure. Měli byste zvážit roli pracovní funkce s menším počtem oprávnění, omezit rozsah nebo přidat podmínku.

Jaká je ekvivalentní role Azure, kterou mám přiřadit správci služeb?

• Role vlastníka má ekvivalentní přístup v rámci předplatného.

Proč je potřeba migrovat na Azure RBAC?

• Azure RBAC nabízí jemně odstupňované řízení přístupu, kompatibilitu s Microsoft Entra Privileged Identity Management (PIM) a plnou podporu protokolů auditu. Všechny budoucí investice budou v Azure RBAC.

A co role správce účtu?

• Správce účtu je primárním uživatelem vašeho fakturačního účtu. Správce účtu není zastaralý a toto přiřazení role nemusíte převádět. Roli správce účtu a správce služeb může zastávat stejný uživatel. Stačí však pouze převést přiřazení role Správce služeb.

Co mám dělat, když ztratím přístup k odběru?

• Pokud odeberete klasické správce, aniž byste měli k předplatnému přiřazenou alespoň jednu roli vlastníka, ztratíte k předplatnému přístup a předplatné bude osamocené. Chcete-li obnovit přístup k odběru, můžete provést následující kroky:

  • Postupujte podle kroků ke zvýšení úrovně přístupu pro správu všech předplatných v tenantovi.
  • Přiřaďte uživateli roli vlastníka pro předplatné.
  • Odeberte přístup se zvýšenými oprávněními.

Co mám dělat, když mám silnou závislost na spolusprávci nebo správci služeb?

• Pošlete e-mail na adresu ACARDeprecation@microsoft.com a popište svůj scénář.

Výpis klasických správců

Azure Portal

Pomocí portálu Azure postupujte podle těchto kroků k zobrazení seznamu správců služeb a spolusprávců předplatného.

1. Přihlaste se k webu Azure Portal jako vlastník odběru.

2. Otevřete Předplatná a vyberte předplatné.

3. Vyberte Řízení přístupu (IAM) .

4. Chcete-li zobrazit seznam spolusprávců, vyberte kartu Klasičtí správci.

   

Azure Resource Graph

Podle těchto kroků vypíšete počet správců služeb a spolusprávců ve vašich předplatných pomocí Azure Resource Graphu.

1. Přihlaste se k webu Azure Portal jako vlastník odběru.

2. Otevřete Azure Resource Graph Explorer.

3. Vyberte Obor a nastavte obor dotazu.

   Nastavte obor na Adresář pro dotazování celého tenanta, ale rozsah můžete zúžit na konkrétní předplatná.

   

4. Vyberte Nastavit obor autorizace a nastavte obor autorizace na Na, nad a pod pro dotaz na všechny prostředky v zadaném oboru.

   

5. Spuštěním následujícího dotazu vypíšete počet správců služeb a spolusprávců podle rozsahu.

   authorizationresources
   | where type == "microsoft.authorization/classicadministrators"
   | mv-expand role = parse_json(properties).role
   | mv-expand adminState = parse_json(properties).adminState
   | where adminState == "Enabled"
   | where role in ("ServiceAdministrator", "CoAdministrator")
   | summarize count() by subscriptionId, tostring(role)
   

   Ukázka výsledků vypadá následovně. Sloupec count_ je počet správců služeb nebo spolusprávce předplatného.

   

Odchod spolusprávců do důchodu

Pokud stále máte klasické správce, postupujte podle následujících kroků, abyste mohli převést přiřazení rolí spolusprávce.

Krok 1: Zkontrolujte aktuální spolusprávce

1. Přihlaste se k webu Azure Portal jako vlastník odběru.

2. Pomocí webu Azure Portal nebo Azure Resource Graphu můžete zobrazit seznam spolusprávců.

3. Zkontrolujte protokoly přihlašování pro spolusprávce a vyhodnoťte, jestli jsou aktivní uživatelé.

Krok 2: Odeberte spolusprávce, kteří už nepotřebují přístup

1. Pokud už uživatel není ve vašem podniku, odeberte spoluadministrátora.

2. Pokud byl uživatel odstraněn, ale jeho přiřazení spolusprávce nebylo odebráno, odeberte spolusprávce.

   Uživatelé, kteří byli odstraněni, obvykle obsahují text (Uživatel nebyl v tomto adresáři nalezen).

   

3. Po posouzení aktivity uživatele, pokud už uživatel není aktivní, odeberte spolusprávce.

Krok 3: Převeďte spolusprávce na role pracovních funkcí

Většina uživatelů nepotřebuje stejná oprávnění jako spolusprávce. Místo toho zvažte pracovní pozici.

1. Pokud uživatel stále potřebuje přístup, určete odpovídající roli pracovní funkce, kterou potřebuje.

2. Určete rozsah potřeb uživatele.

3. Podle kroků přiřaďte uživateli roli pracovní funkce.

4. Odeberte spolusprávce.

Krok 4: Převeďte roli spolusprávce na roli Vlastník s podmínkami

Někteří uživatelé mohou potřebovat větší přístup, než jaký jim může poskytnout role pracovní funkce. Pokud musíte přiřadit roli Vlastník, zvažte přidání podmínky nebo použití nástroje Microsoft Entra Privileged Identity Management (PIM) k omezení přiřazení role.

1. Přiřaďte roli Vlastník s podmínkami.

   Například přiřaďte roli Vlastník na úrovni předplatného s podmínkami. Pokud máte PIM, umožněte uživateli získat nárok na přiřazení role Vlastník.

2. Odeberte spolusprávce.

Krok 5: Převeďte role spolusprávců na roli Vlastník

Pokud musí být uživatel správcem předplatného, přiřaďte roli Vlastník v oboru předplatného.

• Postupujte podle pokynů v části Jak převést spolusprávce s rolí Vlastník.

Jak převést roli Spolusprávce na roli Vlastník

Nejjednodušší způsob, jak překrýt přiřazení role Spolusprávce k roli Vlastník v oboru předplatného, je použít kroky k nápravě.

1. Přihlaste se k webu Azure Portal jako vlastník odběru.

2. Otevřete Předplatná a vyberte předplatné.

3. Vyberte Řízení přístupu (IAM) .

4. Chcete-li zobrazit seznam spolusprávců, vyberte kartu Klasičtí správci.

5. Pro spolusprávce, kterého chcete převést na roli Vlastník, vyberte ve sloupci Oprava odkaz Přiřadit roli RBAC.

6. V podokně Přidat přiřazení role zkontrolujte přiřazení role.

   

7. Výběrem možnosti Zkontrolovat a přiřadit přiřaďte roli Vlastník a odeberte přiřazení role Spolusprávce.

Postup pro odebrání spolusprávce

Chcete-li odebrat spolusprávce, postupujte podle těchto kroků.

1. Přihlaste se k webu Azure Portal jako vlastník odběru.

2. Otevřete Předplatná a vyberte předplatné.

3. Vyberte Řízení přístupu (IAM) .

4. Chcete-li zobrazit seznam spolusprávců, vyberte kartu Klasičtí správci.

5. Přidejte značku zaškrtnutí vedle spolusprávce, kterého chcete odebrat.

6. Vyberte Odstranit.

7. V okně se zprávou, které se zobrazí, vyberte Ano.

   

Odchod do důchodu správce služeb

Pokud stále máte klasické správce, pomocí následujícího postupu můžete převést přiřazení role Správce služeb. Než odeberete Správce služby, musí být alespoň jeden uživatel, kterému je přiřazena role Vlastník v rozsahu předplatného bez podmínek, aby nedošlo k osamocení předplatného. Vlastník předplatného má stejný přístup jako správce služeb.

Krok 1: Zkontrolujte aktuálního správce služeb

1. Přihlaste se k webu Azure Portal jako vlastník odběru.

2. Pomocí webu Azure Portal nebo Azure Resource Graphu vytvořte seznam správce služeb.

3. Zkontrolujte protokoly přihlašování pro správce služeb a vyhodnoťte, jestli jsou aktivní uživatelé.

Krok 2: Zkontrolujte stávající vlastníky fakturačních účtů

Uživatel, který má přiřazenou roli Správce služeb, může být také stejný uživatel, který je správcem vašeho fakturačního účtu. Měli byste zkontrolovat své stávající vlastníky fakturačních účtů, abyste se ujistili, že jsou stále přesní.

1. Vlastníky fakturačního účtu získáte pomocí webu Azure Portal.

2. Projděte si seznam vlastníků fakturačního účtu. V případě potřeby aktualizujte nebo přidejte dalšího vlastníka fakturačního účtu.

Krok 3: Převeďte roli správce služeb na roli Vlastník

Správcem služeb může být účet Microsoft nebo účet Microsoft Entra. Účet Microsoft je osobní účet, jako je Outlook, OneDrive, Xbox LIVE nebo Microsoft 365. Účet Microsoft Entra je identita vytvořená prostřednictvím Microsoft Entra ID.

1. Pokud je uživatelem správce služeb účet Microsoft a chcete, aby si tento uživatel ponechal stejná oprávnění, převeďte správce služeb na roli Vlastník.

2. Pokud je uživatelem správce služeb účet Microsoft Entra a chcete, aby si tento uživatel ponechal stejná oprávnění, převeďte správce služeb na roli Vlastník.

3. Pokud chcete změnit uživatele správce služeb na jiného uživatele, přiřaďte tomuto novému uživateli roli Vlastník v rámci předplatného bez podmínek. Pak odeberte správce služeb.

Jak převést roli Správce služeb na roli Vlastník

Nejjednodušší způsob, jak převést přiřazení role Správce služeb na roli Vlastník v rámci předplatného, je použít kroky Řešení.

1. Přihlaste se k webu Azure Portal jako vlastník odběru.

2. Otevřete Předplatná a vyberte předplatné.

3. Vyberte Řízení přístupu (IAM) .

4. Vyberte kartu Klasičtí správci a zobrazte správce služeb.

5. V případě Správce služeb ve sloupci Opravit vyberte odkaz Přiřadit roli RBAC.

6. V podokně Přidat přiřazení role zkontrolujte přiřazení role.

   

7. Vyberte možnost Zkontrolovat a přiřadit pro přiřazení role vlastníka a odebrání přiřazení role správce služeb.

Jak odebrat správce služeb

Důležité

Pokud chcete odebrat správce služby, musíte mít uživatele, kterému je bez podmínek přiřazena role Vlastník na úrovni předplatného, aby se zabránilo opuštění předplatného. Vlastník předplatného má stejný přístup jako správce služeb.

1. Přihlaste se k webu Azure Portal jako vlastník odběru.

2. Otevřete Předplatná a vyberte předplatné.

3. Vyberte Řízení přístupu (IAM) .

4. Vyberte kartu Klasičtí správci.

5. Vedle správce služby přidejte zaškrtávací značku.

6. Vyberte Odstranit.

7. V okně se zprávou, které se zobrazí, vyberte Ano.

   

Další kroky

• Vysvětlení různých rolí
• Přiřazování rolí Azure s využitím webu Azure Portal
• Vysvětlení rolí pro správu smluv se zákazníky Microsoftu v Azure